CN114095284B - 一种智能流量调度保护方法和系统 - Google Patents
一种智能流量调度保护方法和系统 Download PDFInfo
- Publication number
- CN114095284B CN114095284B CN202210076226.4A CN202210076226A CN114095284B CN 114095284 B CN114095284 B CN 114095284B CN 202210076226 A CN202210076226 A CN 202210076226A CN 114095284 B CN114095284 B CN 114095284B
- Authority
- CN
- China
- Prior art keywords
- traffic scheduling
- data
- model
- benign
- scheduling model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种智能流量调度保护方法和系统。方法包括:基于良性测试数据和待检测流量调度模型的模型结构,构建具有模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型;将包含恶意攻击数据的触发样本分别输入至良性流量调度模型和恶性流量调度模型,以确定良性流量调度模型的指标特征和恶性流量调度模型的指标特征;将良性测试数据输入至待检测流量调度模型,以获取待检测流量调度模型的待检测指标特征,基于待检测指标特征、良性流量调度模型的指标特征、恶性流量调度模型的指标特征,确定待检测流量调度模型的性质,以实现智能流量调度保护。
Description
技术领域
本发明属于针对智能流量调度保护技术领域,尤其涉及一种智能流量调度保护方法和系统。
背景技术
在基于循环神经网络的流量调度应用场景中,由于深度神经网络容易受到对抗扰动与中毒攻击的影响,存在模型鲁棒性差的问题,容易造成流量调度出错的安全问题。尤其是在循环神经网络的训练阶段和推理阶段都存在对抗干扰和恶意攻击,使得网络环境中出现流量激增等安全性问题,在智能化网络信息系统中会产生严重的财产损失。
为了进一步提高智能化网络信息系统中的流量调度任务性能,需要通过对智能化网络系统进行安全漏洞挖掘,研究在数据和模型层面存在的安全问题,挖掘系统的安全隐患,并对异常的流量数据进行检测防御,以区分正常流量数据和异常流量数据,进一步实现智能化网络系统的免疫加固,达到智能化网络流量调度的安全应用。
发明内容
为了解决上述技术问题,本发明提供了一种智能流量调度保护方案,目的在于保护基于深度学习的智能流量调度模型不受自身模型漏洞或者恶意攻击的影响。
本发明第一方面公开了一种智能流量调度保护方法。所述方法包括:
步骤S1、基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
步骤S2、将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
步骤S3、将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护。
根据本发明第一方面的方法,在所述步骤S1中,构建所述良性流量调度模型包括:
构建具有所述模型结构的第一模型,将所述良性测试数据输入至所述第一模型以获取第一流量调度结果;
计算所述第一流量调度结果和所述良性测试数据的真实调度结果之间的损失函数,通过迭代训练求取所述损失函数的最小值;
所述损失函数具有所述最小值时,对应的第一模型的流量调度的错误率低于所述第一阈值,将所述对应的第一模型作为所述良性流量调度模型。
根据本发明第一方面的方法,在所述步骤S1中,构建所述恶性流量调度模型包括:采用构建所述良性流量调度模型的方式构建第二模型,对所述第二模型执行多类恶意攻击训练,使得所述第二模型能够对所述多类恶意攻击做出响应,以触发包含所述恶意攻击数据的触发样本,将能够触发包含所述恶意攻击数据的触发样本的第二模型作为所述恶性流量调度模型。
根据本发明第一方面的方法,在所述步骤S2中,确定所述良性流量调度模型的指标特征包括:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征。
根据本发明第一方面的方法,在所述步骤S2中,确定所述恶性流量调度模型的指标特征包括:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
根据本发明第一方面的方法,在所述步骤S3中,确定所述待检测流量调度模型的待检测指标特征包括:
将所述良性测试数据按照类别分为多组良性数据输入至所述待检测流量调度模型,以获取第四流量调度结果;
计算所述第四流量调度结果和所述多组良性数据的真实调度结果之间的损失函数,作为第五指标特征;
根据所述第四流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第六指标特征;
基于所述第五指标特征和所述第六指标特征确定所述待检测流量调度模型的待检测指标特征。
根据本发明第一方面的方法,在所述步骤S3中,利用所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征对所述待检测流量调度模型的待检测指标特征进行优化,通过迭代更新求取使得所述待检测指标特征具有最小值的最优粒子,若所述最优粒子存在,则所述待检测流量调度模型的性质为恶性,否则为良性。
本发明第二方面公开了一种智能流量调度保护系统。所述系统包括:
第一处理单元,被配置为,基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
第二处理单元,被配置为,将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
第三处理单元,被配置为,将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护。
根据本发明第二方面的系统,所述第一处理单元具体被配置为,利用如下方式构建所述良性流量调度模型:
构建具有所述模型结构的第一模型,将所述良性测试数据输入至所述第一模型以获取第一流量调度结果;
计算所述第一流量调度结果和所述良性测试数据的真实调度结果之间的损失函数,通过迭代训练求取所述损失函数的最小值;
所述损失函数具有所述最小值时,对应的第一模型的流量调度的错误率低于所述第一阈值,将所述对应的第一模型作为所述良性流量调度模型。
根据本发明第二方面的系统,所述第一处理单元具体被配置为,利用如下方式构建所述恶性流量调度模型:采用构建所述良性流量调度模型的方式构建第二模型,对所述第二模型执行多类恶意攻击训练,使得所述第二模型能够对所述多类恶意攻击做出响应,以触发包含所述恶意攻击数据的触发样本,将能够触发包含所述恶意攻击数据的触发样本的第二模型作为所述恶性流量调度模型。
根据本发明第二方面的系统,所述第二处理单元具体被配置为,利用如下方式确定所述良性流量调度模型的指标特征:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征。
根据本发明第二方面的系统,所述第二处理单元具体被配置为,利用如下方式确定所述恶性流量调度模型的指标特征:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
根据本发明第二方面的系统,所述第三处理单元具体被配置为,利用如下方式确定所述待检测流量调度模型的待检测指标特征:
将所述良性测试数据按照类别分为多组良性数据输入至所述待检测流量调度模型,以获取第四流量调度结果;
计算所述第四流量调度结果和所述多组良性数据的真实调度结果之间的损失函数,作为第五指标特征;
根据所述第四流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第六指标特征;
基于所述第五指标特征和所述第六指标特征确定所述待检测流量调度模型的待检测指标特征。
根据本发明第二方面的系统,所述第三处理单元具体被配置为,利用所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征对所述待检测流量调度模型的待检测指标特征进行优化,通过迭代更新求取使得所述待检测指标特征具有最小值的最优粒子,若所述最优粒子存在,则所述待检测流量调度模型的性质为恶性,否则为良性。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明第一方面所述的一种智能流量调度保护方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明第一方面所述的一种智能流量调度保护方法中的步骤。
综上,本发明的技术方案基于触发数据的损失函数敏感度与特征指标在恶意模型与正常模型之间的关系,设计利用粒子群优化算法,将损失函数敏感度与特征指标作为优化目标函数,最终针对待检测的流量调度模型生成测试数据,若不能够获得使目标函数值最小的最优粒子,则认为待检测智能流量调度模型安全,若能够获得使目标函数值最小的最优粒子,则认为待检测智能流量调度模型不安全。采用本发明可以使用户或者防御者检测智能流量调度模型是否安全,是否受到恶意攻击的影响,从而达到保护智能流量调度模型的目的。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种智能流量调度保护方法的流程图;
图2为根据本发明实施例的一种智能流量调度保护系统的结构图;
图3为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种智能流量调度保护方法。图1为根据本发明实施例的一种智能流量调度保护方法的流程图;如图1所示,所述方法包括:
步骤S1、基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
步骤S2、将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
步骤S3、将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护。
在步骤S1,基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据。
具体地,首先获取数据集,所述的数据集为意大利电信数据集、流量文库数据集和Wikipedia页面流量数据集等数据集,获取各一小部分良性测试集数据Datatest并保存,其中对于每个数据集获得每类m个数据,若数据集有n类,则获得共m*n个数据。所述的待检测流量调度模型为Moracle,选取良性测试集数据Datatest重新训练一个与待检测流量调度模型结构一致的良性流量调度模型Mbenign。
在一些实施例中,在所述步骤S1中,构建所述良性流量调度模型包括:
构建具有所述模型结构的第一模型,将所述良性测试数据输入至所述第一模型以获取第一流量调度结果;
计算所述第一流量调度结果和所述良性测试数据的真实调度结果之间的损失函数,通过迭代训练求取所述损失函数的最小值;
所述损失函数具有所述最小值时,对应的第一模型的流量调度的错误率低于所述第一阈值,将所述对应的第一模型作为所述良性流量调度模型。
具体地,将时序数据集按预设比例划分为训练集和测试集,通过one-hot编码将时序数据集中每个数据的标签(真是调度结果)转化为一维向量。
构建损失函数loss:
其中,Hx(yi,y′i)是训练数据x的交叉熵,b是训练数据集中训练数据的个数。
训练数据x的交叉熵的计算公式如下:
以损失函数最小化为目标对流量调度模型进行训练得到分类模型。所述的训练采用小批量梯度下降法(Mini-Batch Gradient Descent,MBGD)训练,每次从训练集中随机选择一批数据用于流量调度模型的训练,既可避免随机梯度下降(Stochastic GradientDescent,SGD)产生的训练震荡,也可避免批量梯度下降(Batch Gradient Descent,BGD)对资源的过度消耗,批的大小选择128。训练目标是通过梯度的前向和反向传播调整流量调度模型的结构参数,不断降低损失函数值。为避免实验偶然性的干扰,训练时采用十折交叉验证,即将训练数据集分成10份,每次选取其中的9份用于训练,一份用于验证。
在一些实施例中,在所述步骤S1中,构建所述恶性流量调度模型包括:采用构建所述良性流量调度模型的方式构建第二模型,对所述第二模型执行多类恶意攻击训练,使得所述第二模型能够对所述多类恶意攻击做出响应,以触发包含所述恶意攻击数据的触发样本,将能够触发包含所述恶意攻击数据的触发样本的第二模型作为所述恶性流量调度模型。
具体地,从获取的良性测试集数据Datatest中的m*n个数据,依次选取第i类h个数据作为目标类,其中h∈m,i∈[0,1,...,n-1],选取第j类k张数据作为源类,其中k∈m,j∈[0,1,...,n-1]并且j≠i。依次对训练后的流量调度模型Mbenign进行某类中毒攻击,可获得n*(n-1)个中毒模型和每类h张触发数据Xtrigger_1={X1,X2,...,Xh}。
针对不同类型的中毒攻击,例如BadNets等带触发器的中毒攻击和特征嵌入的无明显触发器的中毒攻击,均进行步骤S31生成基于不同中毒攻击生成的触发数据Xtrigger_1,Xtrigger_2,...,Xtrigger_c和中毒模型Mpoison_1,Mpoison_2,...,Mpoison_c,其中c表示有c类中毒攻击方法,则共获得n*(n-1)*c个中毒模型,h*n*c个触发数据。
在步骤S2,将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发。
在一些实施例中,在所述步骤S2中,确定所述良性流量调度模型的指标特征包括:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征。
在一些实施例中,在所述步骤S2中,确定所述恶性流量调度模型的指标特征包括:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
具体地,获取触发数据在流量调度恶性模型和流量调度良性模型的损失函数敏感度和特征指标并分析两者之间的规律。
损失函数敏感度的计算公式如下:
其中,x为中毒触发样本,loss的计算方式与前述方式一致,||||1表示采用的计算方式为L1范数。
统计特征指标包括同一类数据的特征子空间聚合度(FSA),不同类的特征子空间距离(FSD),特征子空间重合度(FSC)。输入的是中毒触发样本,返回的是基于决策边界的统计特征指标(FSA,FSD,FSC),完成流量调度模型的鲁棒性评估。
同一类数据的特征子空间聚合度(FSA),同一类样本在特征空间与该类的特征子空间中心距离越小,则表明数据聚合度高,流量调度模型更加鲁棒。计算公式如下:
不同类的特征子空间距离(FSD),所有类两两之间的距离平均值越大,则流量调度模型越鲁棒,计算公式如下:
特征子空间重合度(FSC)的本质是衡量不同类数据在特征空间中的决策边界距离,重合度值越小,则不同特征子空间的重合度越低,决策边界距离越大,流量调度模型越鲁棒,计算公式如下:
FSCg,g+l=FSAg+FSAg+l-FSDg,g+1
其中,FSAg和FSAg+1分别表示第g类和第g+1类数据的特征子空间聚合度,FSDg,g+1表示第g类和第g+1类数据的特征子空间距离。进一步可以计算所有数据类两两之间的特征子空间重合度,得到决策边界的平均距离,评估流量调度模型的整体安全性。
分别获取触发数据在流量调度中毒模型Mpoison_1,Mpoison_2,...,Mpoison_c中的损失函数敏感度与特征指标以及触发数据在流量调度良性模型Mbenign中的损失函数敏感度与特征指标,并分析在不同模型下损失函数敏感度与特征指标的关系,实验结果均显示相比较流量调度中毒模型中损失函数敏感度近乎为0,FSA和FSD数值较小,FSC数值较大,而在流量调度良性模型中结果相反。
在步骤S3,将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护。
在一些实施例中,在所述步骤S3中,确定所述待检测流量调度模型的待检测指标特征包括:
将所述良性测试数据按照类别分为多组良性数据输入至所述待检测流量调度模型,以获取第四流量调度结果;
计算所述第四流量调度结果和所述多组良性数据的真实调度结果之间的损失函数,作为第五指标特征;
根据所述第四流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第六指标特征;
基于所述第五指标特征和所述第六指标特征确定所述待检测流量调度模型的待检测指标特征。
在一些实施例中,在所述步骤S3中,利用所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征对所述待检测流量调度模型的待检测指标特征进行优化,通过迭代更新求取使得所述待检测指标特征具有最小值的最优粒子,若所述最优粒子存在,则所述待检测流量调度模型的性质为恶性,否则为良性。
具体地,利用损失函数敏感度和特征指标生成测试数据并判断待检测流量调度模型是否安全,生成测试数据的优化方法采用粒子群优化算法,具体步骤如下:
从良性测试集数据Datatest中采集部分良性测试数据Xbenign作为初始粒子,并初始化粒子的位置dx和速度vx;
将每个粒子作为输入数据,输入待检测预测模型Moracle,根据目标函数计算每个粒子的适应度值fit[x],目标函数obj计算公式如下:
0bj=loss_sensitivity+λ(FSA+FSD-FSC)
比较每个粒子的适应度值fit[x]和个体极值pbest,如果fit[x]<pbest[x],则fit[x]用替代pbest,以更新个体极值pbest;
比较每个粒子的适应度值fit[x]和全局极值rbest,如果fit[x]<rbest,则fit[x]用替代rbest,以更新全局极值rbest;
迭代更新粒子的速度vx和位置dx,标准更新方式为:
vx(t+l)=vx(t)+w1s1(t)[pbest(t)-dx(t)l+w2s2(t)[rbest(t)-dx(t)]
dx(t+1)=dx(t)+vx(t+1)
其中,其中t代表的是迭代的轮数,w1和w2为学习因子,s1和s2为0~1内的随机数,增加了粒子飞行的随机性;
重复上述过程,当算法结束时,若不能够获得使目标函数值最小的最优粒子,则认为待检测流量调度模型安全,若能够获得使目标函数值最小的最优粒子,则认为待检测流量调度模型不安全。
本发明第二方面公开了一种智能流量调度保护系统。图2为根据本发明实施例的一种智能流量调度保护系统的结构图;如图2所示,所述系统200包括:
第一处理单元201,被配置为,基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
第二处理单元202,被配置为,将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
第三处理单元203,被配置为,将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护。
根据本发明第二方面的系统,所述第一处理单元201具体被配置为,利用如下方式构建所述良性流量调度模型:
构建具有所述模型结构的第一模型,将所述良性测试数据输入至所述第一模型以获取第一流量调度结果;
计算所述第一流量调度结果和所述良性测试数据的真实调度结果之间的损失函数,通过迭代训练求取所述损失函数的最小值;
所述损失函数具有所述最小值时,对应的第一模型的流量调度的错误率低于所述第一阈值,将所述对应的第一模型作为所述良性流量调度模型。
根据本发明第二方面的系统,所述第一处理单元201具体被配置为,利用如下方式构建所述恶性流量调度模型:采用构建所述良性流量调度模型的方式构建第二模型,对所述第二模型执行多类恶意攻击训练,使得所述第二模型能够对所述多类恶意攻击做出响应,以触发包含所述恶意攻击数据的触发样本,将能够触发包含所述恶意攻击数据的触发样本的第二模型作为所述恶性流量调度模型。
根据本发明第二方面的系统,所述第二处理单元202具体被配置为,利用如下方式确定所述良性流量调度模型的指标特征:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征。
根据本发明第二方面的系统,所述第二处理单元202具体被配置为,利用如下方式确定所述恶性流量调度模型的指标特征:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
根据本发明第二方面的系统,所述第三处理单元203具体被配置为,利用如下方式确定所述待检测流量调度模型的待检测指标特征:
将所述良性测试数据按照类别分为多组良性数据输入至所述待检测流量调度模型,以获取第四流量调度结果;
计算所述第四流量调度结果和所述多组良性数据的真实调度结果之间的损失函数,作为第五指标特征;
根据所述第四流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第六指标特征;
基于所述第五指标特征和所述第六指标特征确定所述待检测流量调度模型的待检测指标特征。
根据本发明第二方面的系统,所述第三处理单元203具体被配置为,利用所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征对所述待检测流量调度模型的待检测指标特征进行优化,通过迭代更新求取使得所述待检测指标特征具有最小值的最优粒子,若所述最优粒子存在,则所述待检测流量调度模型的性质为恶性,否则为良性。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明第一方面所述的一种智能流量调度保护方法中的步骤。
图3为根据本发明实施例的一种电子设备的结构图;如图3所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明第一方面所述的一种智能流量调度保护方法中的步骤。
综上,本发明的技术方案基于触发数据的损失函数敏感度与特征指标在恶意模型与正常模型之间的关系,设计利用粒子群优化算法,将损失函数敏感度与特征指标作为优化目标函数,最终针对待检测的流量调度模型生成测试数据,若不能够获得使目标函数值最小的最优粒子,则认为待检测智能流量调度模型安全,若能够获得使目标函数值最小的最优粒子,则认为待检测智能流量调度模型不安全。采用本发明可以使用户或者防御者检测智能流量调度模型是否安全,是否受到恶意攻击的影响,从而达到保护智能流量调度模型的目的。
本发明的有益效果主要表现在:针对中毒攻击方法,提出了一种基于损失函数敏感度与特征指标的智能流量调度保护方法和系统。在真实流量调度模型上的实验结果表明,该方法具有良好的适用性,能够有效的判断智能流量调度模型是否安全并生成测试数据,取得较好的检测效果。
需要说明的是,上述实施例提供的基于损失函数敏感度与特征指标的智能流量调度保护系统在进行面向流量调度模型的保护时,应以上述各功能模块的划分进行举例说明,可以根据需要将上述功能分配由不同的功能模块完成,即在终端或服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基于损失函数敏感度与特征指标的智能流量调度保护系统与基于损失函数敏感度与特征指标的智能流量调度保护方法实施例属于同一构思,其具体实现过程详见基于损失函数敏感度与特征指标的智能流量调度保护方法实施例,这里不再赘述。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种智能流量调度保护方法,其特征在于,所述方法包括:
步骤S1、基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
步骤S2、将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
步骤S3、将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护;
其中,在所述步骤S2中:
确定所述良性流量调度模型的指标特征包括:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征;
确定所述恶性流量调度模型的指标特征包括:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
2.根据权利要求1所述的一种智能流量调度保护方法,其特征在于,在所述步骤S1中,构建所述良性流量调度模型包括:
构建具有所述模型结构的第一模型,将所述良性测试数据输入至所述第一模型以获取第一流量调度结果;
计算所述第一流量调度结果和所述良性测试数据的真实调度结果之间的损失函数,通过迭代训练求取所述损失函数的最小值;
所述损失函数具有所述最小值时,对应的第一模型的流量调度的错误率低于所述第一阈值,将所述对应的第一模型作为所述良性流量调度模型。
3.根据权利要求2所述的一种智能流量调度保护方法,其特征在于,在所述步骤S1中,构建所述恶性流量调度模型包括:采用构建所述良性流量调度模型的方式构建第二模型,对所述第二模型执行多类恶意攻击训练,使得所述第二模型能够对所述多类恶意攻击做出响应,以触发包含所述恶意攻击数据的触发样本,将能够触发包含所述恶意攻击数据的触发样本的第二模型作为所述恶性流量调度模型。
4.根据权利要求3所述的一种智能流量调度保护方法,其特征在于,在所述步骤S3中,确定所述待检测流量调度模型的待检测指标特征包括:
将所述良性测试数据按照类别分为多组良性数据输入至所述待检测流量调度模型,以获取第四流量调度结果;
计算所述第四流量调度结果和所述多组良性数据的真实调度结果之间的损失函数,作为第五指标特征;
根据所述第四流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第六指标特征;
基于所述第五指标特征和所述第六指标特征确定所述待检测流量调度模型的待检测指标特征。
5.根据权利要求4所述的一种智能流量调度保护方法,其特征在于,在所述步骤S3中,利用所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征对所述待检测流量调度模型的待检测指标特征进行优化,通过迭代更新求取使得所述待检测指标特征具有最小值的最优粒子,若所述最优粒子存在,则所述待检测流量调度模型的性质为恶性,否则为良性。
6.一种智能流量调度保护系统,其特征在于,所述系统包括:
第一处理单元,被配置为,基于良性测试数据和待检测流量调度模型的模型结构,构建具有所述模型结构且流量调度的错误率低于第一阈值的良性流量调度模型,以及构建具有所述模型结构且能够触发包含恶意攻击数据的触发样本的恶性流量调度模型,所述良性测试数据为不包含所述恶意攻击数据的测试数据;
第二处理单元,被配置为,将所述包含恶意攻击数据的触发样本分别输入至所述良性流量调度模型和所述恶性流量调度模型,以确定所述良性流量调度模型的指标特征和所述恶性流量调度模型的指标特征,所述包含恶意攻击数据的触发样本在所述良性流量调度模型中不被触发;
第三处理单元,被配置为,将所述良性测试数据输入至所述待检测流量调度模型,以获取所述待检测流量调度模型的待检测指标特征,基于所述待检测指标特征、所述良性流量调度模型的指标特征、所述恶性流量调度模型的指标特征,确定所述待检测流量调度模型的性质,以实现所述智能流量调度保护;
所述第二处理单元具体被配置为:
利用如下方式确定所述良性流量调度模型的指标特征:
将所述包含恶意攻击数据的触发样本按照类别分为多组数据,所述多组数据被输入至所述良性流量调度模型,以获取第二流量调度结果;
计算所述第二流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第一指标特征;
根据所述第二流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第二指标特征;
基于所述第一指标特征和所述第二指标特征确定所述良性流量调度模型的指标特征;
利用如下方式确定所述恶性流量调度模型的指标特征:
将所述多组数据输入至所述恶性流量调度模型,所述包含恶意攻击数据的触发样本被触发,并获取所述恶性流量调度模型的调度结果作为第三流量调度结果;
计算所述第三流量调度结果和所述多组数据的真实调度结果之间的损失函数,作为第三指标特征;
根据所述第三流量调度结果确定同类数据的特征子空间聚合度、不同类数据的特征子空间距离、不同类数据的特征子空间重合度作为第四指标特征;
基于所述第三指标特征和所述第四指标特征确定所述恶性流量调度模型的指标特征。
7.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至5中任一项所述的一种智能流量调度保护方法中的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至5中任一项所述的一种智能流量调度保护方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210076226.4A CN114095284B (zh) | 2022-01-24 | 2022-01-24 | 一种智能流量调度保护方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210076226.4A CN114095284B (zh) | 2022-01-24 | 2022-01-24 | 一种智能流量调度保护方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114095284A CN114095284A (zh) | 2022-02-25 |
CN114095284B true CN114095284B (zh) | 2022-04-15 |
Family
ID=80309146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210076226.4A Active CN114095284B (zh) | 2022-01-24 | 2022-01-24 | 一种智能流量调度保护方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095284B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN109936582A (zh) * | 2019-04-24 | 2019-06-25 | 第四范式(北京)技术有限公司 | 构建基于pu学习的恶意流量检测模型的方法及装置 |
CN113923026A (zh) * | 2021-10-11 | 2022-01-11 | 广州大学 | 一种基于TextCNN的加密恶意流量检测模型及其构建方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040073A (zh) * | 2018-01-23 | 2018-05-15 | 杭州电子科技大学 | 信息物理交通系统中基于深度学习的恶意攻击检测方法 |
-
2022
- 2022-01-24 CN CN202210076226.4A patent/CN114095284B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN109936582A (zh) * | 2019-04-24 | 2019-06-25 | 第四范式(北京)技术有限公司 | 构建基于pu学习的恶意流量检测模型的方法及装置 |
CN113923026A (zh) * | 2021-10-11 | 2022-01-11 | 广州大学 | 一种基于TextCNN的加密恶意流量检测模型及其构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114095284A (zh) | 2022-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Leino et al. | Stolen memories: Leveraging model memorization for calibrated {White-Box} membership inference | |
Zhang et al. | Ransomware classification using patch-based CNN and self-attention network on embedded N-grams of opcodes | |
Amin et al. | Android malware detection through generative adversarial networks | |
Tsang et al. | Detecting statistical interactions from neural network weights | |
CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
CN110135157B (zh) | 恶意软件同源性分析方法、系统、电子设备及存储介质 | |
Baldwin et al. | Leveraging support vector machine for opcode density based detection of crypto-ransomware | |
CN111274134A (zh) | 基于图神经网络的漏洞识别与预测方法、系统、计算机设备和存储介质 | |
John et al. | Graph convolutional networks for android malware detection with system call graphs | |
Yuan et al. | Anomaly detection based on weighted fuzzy-rough density | |
US20230274003A1 (en) | Identifying and correcting vulnerabilities in machine learning models | |
CN110730164B (zh) | 安全预警方法及相关设备、计算机可读存储介质 | |
Sayadi et al. | Stealthminer: Specialized time series machine learning for run-time stealthy malware detection based on microarchitectural features | |
He et al. | DARING: Differentiable causal discovery with residual independence | |
Badhani et al. | CENDroid—A cluster-ensemble classifier for detecting malicious Android applications | |
Zhang et al. | Sampling for nyström extension-based spectral clustering: Incremental perspective and novel analysis | |
Nuo | A novel selection method of network intrusion optimal route detection based on naive Bayesian | |
Ren et al. | Integrated defense for resilient graph matching | |
CN112613032B (zh) | 基于系统调用序列的主机入侵检测方法及装置 | |
Soremekun et al. | Towards backdoor attacks and defense in robust machine learning models | |
CN113378167A (zh) | 一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法 | |
CN114095284B (zh) | 一种智能流量调度保护方法和系统 | |
Wang et al. | DockerWatch: a two-phase hybrid detection of malware using various static features in container cloud | |
Lu et al. | PhilaeX: explaining the failure and success of AI models in malware detection | |
Hou et al. | Collaboratively filtering malware infections: a tensor decomposition approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |